O grupo de ransomware LockBit está aproveitando o software de monitoramento e gerenciamento remoto (RMM) para espalhar sua posição em redes direcionadas.
Três ataques recentes descritos em um relatório publicado em 18 de setembro pela eSentire, com sede no Canadá, seguem uma trajetória semelhante: uma afiliada da LockBit aproveitou-se de instâncias RMM expostas ou trouxe seu próprio RMM para o partido, vivendo da terra (LotL) para para consolidar a sua posição nas redes de vítimas. Dois destes casos afetaram fabricantes e um atingiu um fornecedor de serviços geridos (MSP), permitindo ao grupo comprometer ainda mais alguns dos seus clientes a jusante.
“Há uma tendência geral de viver fora da terra, onde eles estão apenas evitando malware. Ponto final. Mesmo para acesso inicial”, explica Keegan Keplinger, pesquisador sênior de inteligência de ameaças da Unidade de Resposta a Ameaças da eSentire. “Eles querem obter credenciais válidas e usar essas credenciais legítimas para entrar”.
Como o LockBit usa RMMs
Em junho, a Agência de Segurança Cibernética e de Infraestrutura (CISA) publicou um comunicado de segurança cibernética sobre o LockBit , e por boas razões. Provavelmente, nenhuma organização cibercriminosa – no jogo de ransomware como serviço ou outro – foi tão prolífica em 2023, com ataques aparentemente visando quase todos os setores possíveis e todos os tipos de dispositivos , muitas vezes rendendo grandes pagamentos em dinheiro .
O comunicado detalha as tácticas, técnicas e procedimentos (TTP) preferidos do grupo, incluindo a sua propensão para tirar partido dos RMM.
Em um ataque de fevereiro de 2022 contra um fabricante de decoração para casa, por exemplo, os pesquisadores de ameaças da eSentire descobriram um afiliado LockBit com acesso de administrador em uma máquina desprotegida, tentando estabelecer persistência e se espalhar para outros computadores por meio do RMM AnyDesk.
“Especialmente no ano passado, os agentes de ameaças têm optado por não usar malware”, explica Keplinger, referindo-se à forma como os hackers estabelecem persistência e se espalham entre e dentro das redes. “O malware é frequentemente detectado por antivírus e, caso contrário, por tecnologia avançada de endpoint. Portanto, sempre que você puder usar um software que já esteja no ambiente ou um software que possa ser legítimo, algumas pessoas podem nem reconhecê-lo como malicioso imediatamente.”
A LockBit contava com isso em um ataque em junho contra um fabricante de materiais de armazenamento, que se considerava cliente do RMM ConnectWise. Nesse caso, os pesquisadores especularam que o autor da ameaça não foi capaz de roubar as credenciais necessárias para fazer login no ambiente ConnectWise da empresa. Então, em vez disso, instalou sua própria segunda instância do ConnectWise na rede.
“É muito brilhante, porque eles disseram: ‘Já sabemos que o ConnectWise está nesta organização-alvo específica. Então, traremos o nosso próprio e ninguém notará que há outra instância.'”
A extensão da ameaça LockBit
As organizações que usufruem dos benefícios dos RMMs, sem aplicar controlos de segurança adequados para evitar o seu abuso, podem expor não só a si próprias, mas também parceiros e clientes, como demonstra a violação do MSP da LockBit em Fevereiro deste ano.
O MSP em questão deixou seu painel de login do ConnectWise exposto à Internet aberta. A justificativa, especularam os pesquisadores, era facilitar o acesso ao serviço aos administradores de TI de seus clientes. Mas com força bruta, ou simplesmente comprando-os na Dark Web, os invasores obtiveram as credenciais necessárias para avançar. Cinco minutos após a invasão, a LockBit começou a lançar seus binários de ransomware em vários endpoints.
“Eles podem entrar sem restrições quando acessam essas ferramentas e obtêm credenciais de administrador”, lamenta Keplinger. Na verdade, antes de ser interrompido, o grupo tinha utilizado as capacidades de acesso remoto do RMM para chegar a clientes nos setores da indústria transformadora, dos serviços empresariais, da hotelaria e dos transportes.
As empresas podem se proteger contra esse tipo de abuso aplicando autenticação multifatorial e controles rígidos de acesso a essas ferramentas poderosas. E, acrescenta Keplinger, “o monitoramento de endpoints é provavelmente o maior diferencial que está impedindo e impedindo esses ataques”.
“Eles fazem muito sucesso”, alerta sobre o LockBit, para quem ainda não está convencido. “Muito difundido e muito destrutivo.”
FONTE: DARKREADING